Alertas de extensiones de máquina virtual de Azure
En este artículo se enumeran las alertas de seguridad que puede obtener para las extensiones de máquina virtual de Azure de Microsoft Defender for Cloud y los planes de Microsoft Defender habilitados. Las alertas que se muestran en el entorno dependen de los recursos y servicios que va a proteger, y de la configuración personalizada.
Nota:
Algunas de las alertas agregadas recientemente con tecnología de Inteligencia contra amenazas de Microsoft Defender y Microsoft Defender para punto de conexión podrían no estar documentadas.
Aprenda a responder a estas alertas.
Nota
Las alertas de orígenes diferentes pueden tardar un tiempo distinto en aparecer. Por ejemplo, las alertas que requieren un análisis del tráfico de red pueden tardar más en aparecer que las alertas relacionadas con procesos sospechosos que se ejecutan en máquinas virtuales.
Alertas de extensiones de máquina virtual de Azure
Estas alertas se centran en detectar actividades sospechosas de extensiones de máquina virtual de Azure y proporcionan información sobre los intentos de los atacantes de poner en peligro y realizar actividades malintencionadas en las máquinas virtuales.
Las extensiones de máquina virtual de Azure son pequeñas aplicaciones que se ejecutan después de la implementación en máquinas virtuales y proporcionan funcionalidades de configuración, automatización, supervisión, seguridad, etc. Aunque las extensiones son una herramienta eficaz, los actores de amenazas pueden usarlas con fines malintencionados :
Supervisión y recopilación de datos
Implementación de configuración y ejecución de código con privilegios elevados
Restablecimiento de credenciales y creación de usuarios administrativos
Cifrado de discos
Obtenga más información sobre las protecciones más recientes de Defender for Cloud contra el abuso de extensiones de máquina virtual de Azure.
Error sospechoso al instalar la extensión de GPU en la suscripción (versión preliminar)
(VM_GPUExtensionSuspiciousFailure)
Descripción: intención sospechosa de instalar una extensión de GPU en máquinas virtuales no admitidas. Esta extensión debe instalarse en máquinas virtuales equipadas con un procesador gráfico y, en este caso, las máquinas virtuales no están equipadas con este. Estos errores se pueden ver cuando los adversarios malintencionados ejecutan varias instalaciones de dicha extensión con fines criptográficos.
Tácticas de MITRE: Impacto
Gravedad: media
Se detectó una instalación sospechosa de una extensión de GPU en su máquina virtual (versión preliminar)
(VM_GPUDriverExtensionUnusualExecution)
Descripción: se detectó una instalación sospechosa de una extensión de GPU en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían utilizar la extensión de controlador de GPU para instalar controladores de GPU en su máquina virtual a través del Azure Resource Manager para realizar cryptojacking. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales.
Tácticas de MITRE: Impacto
Gravedad: baja
Se detectó una instancia de Ejecutar comando con un script sospechoso en la máquina virtual (versión preliminar)
(VM_RunCommandSuspiciousScript)
Descripción: se detectó un comando de ejecución con un script sospechoso en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en la máquina virtual mediante Azure Resource Manager. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas.
Tácticas de MITRE: Ejecución
Gravedad: alta
Se detectó un uso sospechoso de Ejecutar comando no autorizado en la máquina virtual (versión preliminar)
(VM_RunCommandSuspiciousFailure)
Descripción: Se ha producido un error en el uso no autorizado sospechoso del comando de ejecución y se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían intentar usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en la máquina virtual mediante Azure Resource Manager. Esta actividad se considera sospechosa, ya que normalmente no se ha visto antes.
Tácticas de MITRE: Ejecución
Gravedad: media
Se detectó un uso sospechoso de Ejecutar comando en la máquina virtual (versión preliminar)
(VM_RunCommandSuspiciousUsage)
Descripción: se detectó un uso sospechoso del comando de ejecución en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar Ejecutar comando para ejecutar código malintencionado con privilegios elevados en las máquinas virtuales mediante Azure Resource Manager. Esta actividad se considera sospechosa, ya que normalmente no se ha visto antes.
Tácticas de MITRE: Ejecución
Gravedad: baja
Se detectó un uso sospechoso de varias extensiones de recopilación de datos o supervisión en las máquinas virtuales (versión preliminar)
(VM_SuspiciousMultiExtensionUsage)
Descripción: se detectó un uso sospechoso de varias extensiones de supervisión o recopilación de datos en las máquinas virtuales mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían abusar de estas extensiones para la recopilación de datos, la supervisión del tráfico de red, etc., en la suscripción. Este uso se considera sospechoso, ya que normalmente no se ha visto antes.
Tácticas de MITRE: Reconocimiento
Gravedad: media
Se detectó una instalación sospechosa de extensiones de cifrado de disco en las máquinas virtuales (versión preliminar)
(VM_DiskEncryptionSuspiciousUsage)
Descripción: se detectó una instalación sospechosa de extensiones de cifrado de disco en las máquinas virtuales mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían abusar de la extensión de cifrado de disco para implementar cifrados de disco completos en las máquinas virtuales a través de Azure Resource Manager en un intento de realizar actividad ransomware. Esta actividad se considera sospechosa, ya que no se ha visto normalmente antes y debido al alto número de instalaciones de extensiones.
Tácticas de MITRE: Impacto
Gravedad: media
Se detectó un uso sospechoso de la extensión VMAccess en las máquinas virtuales (versión preliminar)
(VM_VMAccessSuspiciousUsage)
Descripción: se detectó un uso sospechoso de la extensión VMAccess en las máquinas virtuales. Los atacantes podrían abusar de la extensión VMAccess para obtener acceso y poner en peligro las máquinas virtuales con privilegios elevados mediante el restablecimiento del acceso o la administración de usuarios administrativos. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales y debido al gran número de instalaciones de extensiones.
Tácticas de MITRE: Persistencia
Gravedad: media
Se detectó una extensión Desired State Configuration (DSC) con un script sospechoso en la máquina virtual (versión preliminar)
(VM_DSCExtensionSuspiciousScript)
Descripción: la extensión Desired State Configuration (DSC) con un script sospechoso se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar la extensión Desired State Configuration (DSC) para implementar configuraciones malintencionadas, como mecanismos de persistencia, scripts malintencionados, etc., con privilegios elevados, en las máquinas virtuales. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas.
Tácticas de MITRE: Ejecución
Gravedad: alta
Se detectó un uso sospechoso de una extensión Desired State Configuration (DSC) en las máquinas virtuales (versión preliminar)
(VM_DSCExtensionSuspiciousUsage)
Descripción: se detectó un uso sospechoso de una extensión Desired State Configuration (DSC) en las máquinas virtuales mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar la extensión Desired State Configuration (DSC) para implementar configuraciones malintencionadas, como mecanismos de persistencia, scripts malintencionados, etc., con privilegios elevados, en las máquinas virtuales. Esta actividad se considera sospechosa, ya que el comportamiento de la entidad de seguridad sale de sus patrones habituales y debido al gran número de instalaciones de extensiones.
Tácticas de MITRE: Ejecución
Gravedad: baja
Se detectó una extensión de script personalizado con un script sospechoso en la máquina virtual (versión preliminar)
(VM_CustomScriptExtensionSuspiciousCmd)
Descripción: se detectó una extensión de script personalizada con un script sospechoso en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes podrían usar la extensión de Script personalizado para ejecutar un código malintencionado con permisos elevados en la máquina virtual mediante Azure Resource Manager. El script se considera sospechoso, ya que ciertas partes se han identificado como potencialmente malintencionadas.
Tácticas de MITRE: Ejecución
Gravedad: alta
Error de ejecución sospechoso de extensión de script personalizado en la máquina virtual
(VM_CustomScriptExtensionSuspiciousFailure)
Descripción: se detectó un error sospechoso de una extensión de script personalizado en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Estos errores pueden estar asociados a scripts malintencionados ejecutados por esta extensión.
Tácticas de MITRE: Ejecución
Gravedad: media
Eliminación inusual de extensión de script personalizado en la máquina virtual
(VM_CustomScriptExtensionUnusualDeletion)
Descripción: se detectó una eliminación inusual de una extensión de script personalizada en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes pueden usar extensiones de script personalizadas para ejecutar código malintencionado en las máquinas virtuales a través de Azure Resource Manager.
Tácticas de MITRE: Ejecución
Gravedad: media
Ejecución inusual de extensión de script personalizado en la máquina virtual
(VM_CustomScriptExtensionUnusualExecution)
Descripción: se detectó una ejecución inusual de una extensión de script personalizada en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes pueden usar extensiones de script personalizadas para ejecutar código malintencionado en las máquinas virtuales a través de Azure Resource Manager.
Tácticas de MITRE: Ejecución
Gravedad: media
Extensión de script personalizado con un punto de entrada sospechoso en la máquina virtual
(VM_CustomScriptExtensionSuspiciousEntryPoint)
Descripción: se detectó una extensión de script personalizada con un punto de entrada sospechoso en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. El punto de entrada hace referencia a un repositorio de GitHub sospechoso. Los atacantes pueden usar extensiones de script personalizadas para ejecutar código malintencionado en las máquinas virtuales a través de Azure Resource Manager.
Tácticas de MITRE: Ejecución
Gravedad: media
Extensión de script personalizado con una carga útil sospechosa en la máquina virtual
(VM_CustomScriptExtensionSuspiciousPayload)
Descripción: la extensión de script personalizado con una carga de un repositorio sospechoso de GitHub se detectó en la máquina virtual mediante el análisis de las operaciones de Azure Resource Manager en la suscripción. Los atacantes pueden usar extensiones de script personalizadas para ejecutar código malintencionado en las máquinas virtuales a través de Azure Resource Manager.
Tácticas de MITRE: Ejecución
Gravedad: media
Nota:
En el caso de las alertas que están en versión preliminar: los Términos de uso complementarios para las versiones preliminares de Azure incluyen los términos legales adicionales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado con disponibilidad general.